800 561720
Una recente sentenza della Corte di Giustizia dell’Unione Europea (CGUE) ha chiarito come determinare le sanzioni, per violazione del Regolamento UE in materia di protezione dei dati personali (GDPR), applicabili ai gruppi societari. Se un’impresa è parte di un’entità economica integrata (come nel caso della filiale di un gruppo), la sanzione deve riflettere il potere economico dell’intero gruppo, non solo della filiale. Si tratta di una interpretazione della norma con conseguenze di ampia portata.
Il caso ILVA: contesto
Il caso esaminato dalla CGUE riguarda una violazione del GDPR, commessa da un gruppo di imprese multinazionale operante in diversi Stati membri dell'Unione Europea (Lars Larsen). Una delle filiali del gruppo (l’ILVA, catena danese di negozi di mobili) aveva commesso diverse violazioni della disciplina in materia di protezione dei dati personali. I trattamenti illeciti rilevati riguardavano, in particolare, la conservazione di informazioni relative ad almeno 350.000 ex clienti per un periodo di tempo irragionevolmente lungo, in assenza di una base giuridica adeguata e in contrasto con i principi di minimizzazione e limitazione della conservazione dei dati. L'Autorità danese per la protezione dei dati (il Datatilsyn), quindi, aveva avviato un procedimento sanzionatorio, da cui era emersa la controversia relativa alla determinazione dell'importo complessivo dell'ammenda.
Il dibattito sul calcolo della sanzione
Il Datatilsyn, nel calcolo effettuato per la definizione dell'ammenda pecuniaria, ha preso in considerazione non solo il fatturato della singola filiale del gruppo (l’ILVA), ma anche il fatturato complessivo dell'intero gruppo Lars Larsen. Secondo l'Autorità danese, infatti, solo una sanzione che tenesse conto di quanto realizzato dall’intero gruppo avrebbe avuto un adeguato effetto deterrente. Pertanto, l’Autorità ha concluso che l'infrazione dovesse essere qualificata come grave, e applicato una sanzione pecuniaria pari a 1,5 milioni di corone danesi (circa 201.000 euro).
In sede civile, il Tribunale di Aarhus ha ridotto l'ammenda a 100.000 corone danesi (circa 13.400 euro), considerando che solo l'entità giuridica ILVA fosse direttamente coinvolta nel procedimento e non l'intero gruppo.
Il rinvio giudiziale e la nozione di impresa
A seguito di tale decisione, il Pubblico Ministero danese ha presentato ricorso al Tribunale regionale per la Danimarca occidentale, sostenendo che il termine “impresa” di cui all’articolo 83, paragrafi 4-6, del GDPR dovesse essere interpretato in conformità con il diritto dell'Unione Europea, e quindi, ai fini del calcolo della sanzione, dovesse essere considerato l'intero gruppo economico, e non solo il fatturato della filiale direttamente coinvolta. Il caso è stato quindi rinviato alla CGUE per la valutazione finale della questione.
Perché la sentenza è importante? Qualche dato
Prima di approfondire la decisione finale della Corte di giustizia, è importante sottolineare due aspetti particolarmente significativi.
- In primo luogo, come abbiamo visto, una divergente interpretazione della norma ha portato, nel caso in esame, ad un divario nella commisurazione dell'importo molto significativo (pari a 187.600 euro). Ciò significa che l'applicazione concreta della norma da parte del Datatilsyn è stata del 1400% più severa dell'interpretazione effettuata dal Tribunale di Aarhus;
- In secondo luogo, la sentenza rappresenta una pronuncia ufficiale di rilievo anche in considerazione all'ampio bacino di organizzazioni potenzialmente interessate.
Secondo i dati più recenti dell'ISTAT, infatti, in Italia le imprese organizzate in gruppi rappresentano il 3,7% del totale, pari a 166.175 imprese suddivise in 109.167 gruppi.
Di queste, quelle italiane sono la maggioranza, all'interno di gruppi c.d. “domestici” (in quanto composti esclusivamente da imprese italiane), e di gruppi multinazionali italiani (con sede principale in Italia e controllate all'estero). Le imprese a controllo estere, invece, sono 18.434.
I dati rilevati sono destinati ad aumentare. Nel periodo compreso fra il 2019 ed il 2022 ISTAT ha rilevato un incremento complessivo del numero di gruppi societari in Italia pari al 6%.
La posizione della Corte di Giustizia
Giungiamo, quindi, alla decisione della CGUE. Attraverso la sentenza del 13 febbraio 2025, nella causa C-383/23, la Corte ha accolto in modo favorevole l'interpretazione proposta dal Pubblico Ministero danese e ha chiarito che, ai fini del calcolo delle sanzioni pecuniarie applicabili a gruppi di imprese, deve essere preso in considerazione l'intera unità economica, che può includere la società madre e le sue filiali.
Il principio dell'unità economica
Il principio dell'“unità economica” è stato quindi applicato al contesto del GDPR, analogamente a quanto già previsto nel diritto della concorrenza dell'UE. Tale approccio è necessario, secondo la CGUE, per evitare che le aziende possano sottrarsi alla responsabilità per violazioni gravi mediante una strutturazione interna artificiosa delle loro operazioni.
Questa interpretazione trova fondamento nel considerando 150 del GDPR, secondo cui le sanzioni devono essere "effettive, proporzionate e dissuasive". Un’ammenda basata solo sul fatturato della filiale responsabile sarebbe, infatti, troppo contenuta per avere un impatto dissuasivo, in particolare per i gruppi multinazionali di grandi dimensioni.
Le implicazioni pratiche della sentenza
La sentenza ha numerose implicazioni pratiche.
- Sanzioni effettive per i gruppi multinazionali: le autorità competenti, in fase di applicazione delle sanzioni, dovranno considerare non solo i ricavi della singola entità giuridica che ha commesso la violazione, ma quelli relativi all'intero gruppo di imprese;
- Con la conferma del principio dell'“unità economica”, le società madri possono essere ritenute responsabili per le violazioni commesse dalle loro filiali;
- Un maggiore rigore nella determinazione delle sanzioni che si traduce in un aumento dell'importo delle ammende comminate ai gruppi di imprese.
Conclusioni
La decisione della Corte evidenzia la necessità di strategie di conformità rafforzate: le aziende, in particolare quelle che operano su scala internazionale, dovranno rivedere le proprie politiche di protezione dei dati, assicurandosi che tutte le filiali siano conformi al GDPR. Sarà essenziale implementare strutture di audit interno e sistemi di controllo adeguati per monitorare e prevenire le violazioni a livello di gruppo.
